PT-2025-41329 · WordPress · Wordpress Community Events
Ifoundbug
·
Publicado
2025-10-09
·
Atualizado
2025-11-08
·
CVE-2025-10586
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do plugin WordPress Community Events até 1.5.1
Descrição
O plugin WordPress Community Events está suscetível a uma vulnerabilidade de Injeção de SQL devido à sanitização de entrada inadequada do parâmetro
event venue. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior injetem consultas SQL adicionais nas consultas existentes do banco de dados, potencialmente levando à extração de informações sensíveis. O parâmetro event venue é vulnerável devido ao escape insuficiente e à falta de preparação adequada da consulta SQL.Recomendações
Versões anteriores e incluindo a 1.5.1 devem ser atualizadas.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wordpress Community Events